Google Fixes 26 Bugs Amid Fake Update Warning
2023/08/17 InfoSecurity — Google Chrome の最新バージョンをリリースされ、26件の脆弱性が対処されたが、その中の8件は High と評価されている。今回の Chrome 116 におけるアップデートでは、Offline/V8 Engine/Device Trust Connectors/Fullscreen/Network/ANGLE/Skia などの機能がカバーされている。Google の VP of Vulnerability and Threat Research であり、Action1 の共同設立者でもある Mike Walters は、最も脆弱性の1つとして CVE-2023-2312 を取り上げている。この、Offline における use-after-free のバグに対しては、Google から $30,000 バグ報奨金が提供されている。
Google の Mike Walters は、「この問題は、コールバックを受け取る ‘ScheduleDownload’ 関数に起因する。この関数の内部では、WebContents オブジェクトへの未処理のポインタが、コールバックへのパラメータとして渡されてしまう」と説明している。
彼は、「この問題は、コールバックが実行されたときに、WebContents オブジェクトへのポインタが、有効だという保証がないことから発生する。その結果として、コールバックは無効または存在しない WebContents オブジェクトにアクセスし、操作しようとする可能性があり、use-after-free の脆弱性が生じる」と付け加えている。
注意すべき、もう1つの use-after-free の脆弱性は、CVE-2023-4349 である。この問題は、Device Trust Connector に対して、特に DeviceTrustKeyManager と ThreadPool の間の相互作用に影響を与える。
Mike Walters は、「現在の実装では、暗号署名関連オブジェクトである Device Trust SigningKeyPair は、DeviceTrustKeyManager 内の unique_ptr に格納されている。しかし、シャットダウン・シーケンスにおいて、SigningKeyPair を取り込んだ unique_ptr は、ThreadPool よりも先に削除されてしまう」と説明している。
彼は、「タスクの管理と実行を担当する ThreadPool は、削除されたオブジェクトの参照を継続するため、use-after-free バグが生じる可能性がある。このシナリオは、ThreadPool 上のタスクが、削除された SigningKeyPair へのアクセスを、必要とする場合に発生する可能性がある」と述べている。
先週には研究者たちが、脅威アクターがマルウェアをダウンロードさせるために、ユーザーを騙して偽アップデートのインストールを促していると警告を発している。
Trellix はブログの投稿で、「最終的な目的は NetSupport Manager と呼ばれるリモート管理ソフトウェア・ツールをインストールさせ、被害者のマシンをリモートで操作して情報を盗むことだ」と主張している。
このキャンペーンは、ロシアの SocGholish に関連しているが、その帰属について、Trellix は 100% の確信を与えていない。
ポインタが悪さをする脆弱性というのは、なかなか無くならないものだと思います。CISA が 2023/04/14 の「Security-by-Design と Security-by-Default の原則:政府の調達力を用いて普及させる」で、既知の脆弱性の約 3分の2は、メモリーセーフの問題に起因していると解説されていましたが、選択すべきプログラミング言語を考えなければならない問題なのでしょう。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.